1
a570295535 2016-10-05 21:12:36 +08:00
口怕
|
2
tabris17 2016-10-05 21:13:23 +08:00
懒得看图,一般都是钓鱼网站骗账号咯
|
5
geeglo 2016-10-05 21:21:43 +08:00
不可能
能让浏览器任意执行? |
6
TangMonk 2016-10-05 21:24:04 +08:00
不可能吧,浏览器没那么大权限
|
7
mikicomo 2016-10-05 21:25:04 +08:00
|
8
designer 2016-10-05 21:25:34 +08:00
难道是传说中的超能 URL 技术
|
9
qcloud OP @geeglo 如果他自己说的我也就听听,但是他和国外一个人的交流截图有点吃惊。。。因为我之前在某个论坛看到过。
|
10
qcloud OP @yingos 先不说他是不是编的,我打开那个微信收款页面,的确啥都没有,就是点击收钱,一个对话框直接转发给其他人,如果这个页面没有意义,为何仍然在维护?
|
11
ctsed 2016-10-05 21:29:44 +08:00 via iPhone
真的
|
14
geeglo 2016-10-05 21:36:23 +08:00 via iPhone
@qcloud 在我被黑之前,我掌握的知识告诉我这是不可能的,除非他们掌握了浏览器的 0day 。
而且从你描述中,浏览器打开收款界面?微信就自动转账了? 如果有实际例子,发我,这漏洞比我钱包里的那些值钱多了。 |
23
megatron 2016-10-05 22:12:16 +08:00
手里有这 0day ,可以进方程式面试了吧?
|
24
ProjectAmber 2016-10-05 23:35:52 +08:00 via iPad
iOS 9.3.5 不就是为了修复 CVE-2016-4657 嘛,只不过这种漏洞一般只用来攻击特定目标,不会用来钓鱼。
|
25
shenqi 2016-10-05 23:44:53 +08:00
点链接就中毒的话,这个还是很大可能的。不过,需要特定的环境之类的。
|
26
v9ox 2016-10-05 23:48:58 +08:00
求链接 我想试试 哈哈
用户什么都不输入 又不用运行 又不用下载 就能获取到我的短信? 真的好好奇 |
28
blackbbc 2016-10-06 00:55:04 +08:00
你在逗我吗 Android 只要不运行 apk 你想怎么让我中马?
Chrome 浏览器有这么大的权限吗 可以直接获取手机短信? |
29
popu111 2016-10-06 00:58:19 +08:00
先前在空间看到有类似的玩意,也看到别人说中招过。但是没能亲身上爪体验。感觉像是 XSS ?
|
31
VYSE 2016-10-06 03:41:49 +08:00 via Android
请搜索 PWN2OWN
|
32
zhchbin 2016-10-06 09:25:46 +08:00
有段时间研究了一下 Windows 上国产浏览器的安全问题,确实有不少主流的浏览器存在任意命令执行的问题。 WooYun 上也有很多案例。
手机浏览器有也很正常,比如之前 http://bobao.360.cn/news/detail/3480.html 微信惊现任意代码执行漏洞。 360 手机卫士阿尔法团队( Alpha Team )独家发现。 |
33
zhangv 2016-10-06 11:38:31 +08:00
其实有限东西看起来“很傻”,都是起一个“筛选”的作用
就好像那些打电话的骗子,关键不是骗术高明,而是更搞效地找到“老实人” |
34
qq30545 2016-10-06 13:07:16 +08:00
别告诉我这不是伪代码
|
35
xjbeta 2016-10-06 16:56:58 +08:00
手机开 4G 给电脑上网 小伙伴能直接找到我手机号 这年头手机号有了基本什么都有了。。。
|
36
so898 2016-10-06 17:21:11 +08:00
iOS 应该是用的三叉戟那一套吧,之前苹果修了 Bug 之后,发现漏洞的实验室就把几乎所有原理都公开了……
|
37
Er0s 2016-10-06 20:31:09 +08:00 1
= = 你朋友骗你的吧。。。
我昨天才在知乎上面回答了这个问题 https://www.zhihu.com/question/51263739/answer/125059299?from=profile_answer_card |